NIS2 en España: Guía Práctica para Empresas Medianas sin Equipo Legal Dedicado

La Directiva NIS2 —Directiva de Seguridad de las Redes y Sistemas de Información 2— se convirtió en vinculante en los estados miembros de la UE en octubre de 2024. España transpuso NIS2 mediante legislación nacional que amplía significativamente el ámbito de la Directiva NIS original: más sectores, umbrales más bajos para la cobertura, requisitos de seguridad más estrictos y responsabilidad personal ejecutiva por fallos de gobernanza.

Si tu empresa opera en un sector cubierto por NIS2 y cumple los umbrales de tamaño, tienes obligaciones de cumplimiento que no pueden delegarse en “IT se encargará”. NIS2 sitúa explícitamente la responsabilidad de gobernanza de seguridad a nivel de dirección.

Esta guía está escrita para el director jurídico, responsable de cumplimiento o CEO de una empresa mediana española que ha oído hablar de NIS2 y necesita entender, de forma práctica, qué exige —sin un texto regulatorio de 200 páginas.

Quién está cubierto

NIS2 divide las entidades cubiertas en dos niveles:

Entidades esenciales: Organizaciones grandes en sectores de alta criticidad, incluyendo energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio.

Entidades importantes: Organizaciones medianas y grandes en sectores adicionales, incluyendo servicios postales, gestión de residuos, fabricación y distribución química, producción alimentaria, fabricación de dispositivos médicos, equipos electrónicos, vehículos de motor y proveedores digitales (mercados en línea, motores de búsqueda, redes sociales).

Umbrales de tamaño: En general, las entidades con 50 o más empleados o un volumen de negocio anual superior a 10 millones de euros en un sector cubierto están en el ámbito de aplicación. Ciertos sectores críticos no tienen umbral de tamaño —cualquier entidad en infraestructura digital o administración pública puede estar cubierta independientemente del tamaño.

Si tu empresa española es un fabricante mediano, proveedor logístico, empresa de servicios TIC, productor alimentario o opera en cualquier sector listado anteriormente, debes realizar una evaluación de cobertura antes de asumir que estás fuera del ámbito.

Qué exige NIS2

NIS2 se organiza en torno a tres pilares: gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro. Para empresas medianas sin amplios recursos legales o de cumplimiento, esto es lo que cada pilar requiere en la práctica.

Pilar 1: Gestión de riesgos

El Artículo 21 de NIS2 exige que las entidades cubiertas implementen medidas técnicas y organizativas apropiadas para gestionar los riesgos de ciberseguridad. Las medidas deben ser proporcionales al riesgo, teniendo en cuenta el estado del arte, las normas aplicables y los costes de implementación.

En la práctica, esto significa:

• Una evaluación de riesgo de ciberseguridad documentada, revisada anualmente y tras cambios significativos
• Políticas de seguridad de la información, control de acceso y gestión de incidentes
• Disposiciones de continuidad de negocio y recuperación ante desastres, incluyendo procedimientos de copia de seguridad
• Cifrado de datos sensibles en tránsito y en reposo
• Autenticación multifactor para el acceso a sistemas y redes
• Prácticas básicas de higiene cibernética implementadas en toda la organización

La frase clave es “apropiado y proporcional”. No se espera que un distribuidor alimentario de 60 personas tenga el mismo programa de seguridad que un banco nacional. Pero sí se espera que tenga un programa, documentado, con evidencia de implementación.

Pilar 2: Notificación de incidentes

NIS2 crea una obligación de notificación de incidentes en tres etapas:

• Alerta temprana en 24 horas desde que se tiene conocimiento de un incidente significativo
• Notificación de incidente en 72 horas con una evaluación inicial de gravedad, impacto y causa probable
• Informe final en un mes con una descripción completa del incidente, causa raíz y acciones de remediación

Un “incidente significativo” bajo NIS2 es aquel que ha causado o podría causar una perturbación grave en la prestación del servicio o pérdidas financieras para la organización, o que ha afectado o podría afectar a otras organizaciones o personas.

El canal de notificación en España es el INCIBE-CERT (para entidades del sector privado) o el CCN-CERT (para la administración pública y servicios esenciales). Cada notificación debe contener elementos de información específicos; un correo electrónico genérico describiendo “un incidente cibernético” no cumple el requisito.

Pilar 3: Seguridad de la cadena de suministro

NIS2 extiende explícitamente los requisitos de seguridad a la cadena de suministro. Las entidades cubiertas deben evaluar las prácticas de ciberseguridad de sus proveedores directos y prestadores de servicios y abordar los riesgos de seguridad en esas relaciones. Esto tiene implicaciones prácticas:

• Los proveedores de servicios TIC, proveedores de nube y proveedores de software utilizados en tus operaciones deben ser evaluados por su madurez en ciberseguridad
• Los contratos con proveedores críticos deben incluir requisitos de seguridad, derechos de auditoría y obligaciones de notificación de incidentes
• Un registro de proveedores críticos con su última evaluación de seguridad es un requisito básico

Las 10 acciones que crean una base conforme

1. Realiza una evaluación de cobertura. Confirma si tu organización está en el ámbito de aplicación, en qué nivel (esencial o importante) y cuál es la autoridad competente para tu sector. En España, INCIBE coordina con autoridades sectoriales específicas para diferentes industrias.

2. Asigna responsabilidad de gobernanza. NIS2 sitúa la responsabilidad de gobernanza de ciberseguridad a nivel del consejo de administración. Designa un ejecutivo responsable del programa de ciberseguridad. Documéntalo en las actas del consejo.

3. Completa una evaluación de riesgo de ciberseguridad. Documenta tus activos clave, las amenazas a las que se enfrentan, la probabilidad e impacto de materialización y los controles existentes. No necesita ser un ejercicio elaborado —lo que buscan los reguladores es una evaluación estructurada y honesta de tu entorno.

4. Documenta tus políticas de seguridad. Elabora políticas escritas para: gobernanza de seguridad de la información, control de acceso, uso aceptable, respuesta a incidentes y continuidad de negocio. Cada política debe ser aprobada por la dirección, fechada y revisada anualmente.

5. Implementa controles técnicos básicos. Autenticación multifactor para todos los accesos remotos y cuentas privilegiadas. Cifrado para datos sensibles. Segmentación de red separando sistemas de producción de redes de oficina general. Gestión de parches con ventanas definidas para vulnerabilidades críticas.

6. Establece procedimientos de copia de seguridad y recuperación. Define RPO y RTO para sistemas críticos. Prueba la restauración de copias de seguridad al menos anualmente. Documenta el resultado de la prueba. Los inspectores de NIS2 preguntan si tus procedimientos de recuperación han sido realmente validados —no si existen sobre el papel.

7. Construye el procedimiento de respuesta a incidentes. Documenta los procedimientos de alerta temprana en 24 horas y notificación en 72 horas con responsabilidades nominadas, los datos de contacto del INCIBE-CERT y los elementos de información requeridos para cada etapa de notificación. Realiza un ejercicio de mesa.

8. Evalúa a tus proveedores críticos. Identifica los proveedores TIC y prestadores de servicios de los que tus operaciones dependen críticamente. Para cada uno, documenta: qué servicios prestan, qué acceso tienen a tus sistemas, qué mostró su última evaluación de seguridad y si tu contrato incluye requisitos de seguridad.

9. Forma a tu personal. La formación básica de concienciación en ciberseguridad para todo el personal es un requisito explícito de NIS2. Registra la finalización. La formación debe cubrir el reconocimiento de phishing, seguridad de contraseñas, notificación de incidentes y uso aceptable.

10. Documenta todo. Cada evaluación de riesgo, cada revisión de políticas, cada finalización de formación, cada evaluación de proveedor, cada incidente. Las inspecciones de NIS2 —cuando llegan— son revisiones de evidencias. La pregunta siempre es “¿puede demostrar que esto está operativo?” no “¿tiene una política que dice que lo hará?”

La dimensión de responsabilidad personal

Una característica de NIS2 que la distingue de la mayoría de la regulación de ciberseguridad anterior: crea potencial responsabilidad personal para los miembros del consejo de administración que no implementen o supervisen las medidas requeridas. El Artículo 20 de NIS2 exige que los estados miembros garanticen que los órganos de dirección de las entidades esenciales e importantes puedan ser considerados responsables de las infracciones.

En la transposición nacional de España, esto se ha implementado de una manera que crea exposición real para los ejecutivos que no pueden demostrar supervisión activa del programa de ciberseguridad. El acta del consejo, el ejecutivo responsable designado, la revisión documentada de la evaluación de riesgos —estos no son ejercicios burocráticos. Son la evidencia de que la alta dirección cumplió sus obligaciones bajo NIS2.

Cómo son las multas

Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocio anual mundial total (el que sea mayor). Entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocio anual mundial total (el que sea mayor).

Para una empresa española con 50 millones de euros de volumen de negocio anual, una multa máxima como entidad importante sería de 700.000 euros. El argumento económico para construir el programa de cumplimiento no es complicado.